Um pesquisador de segurança digital encontrou uma falha na autenticação de dois passos para acessar diversos sites, entre eles os populares Google, Facebook, Yahoo e LinkedIn.
Esse tipo de autenticação, tida como mais segura e recomendada por empresas de segurança online, usa, além de uma senha, um código de ativação temporário enviado ao celular do internauta.
Por SMS, a transação ocorre de forma segura, o risco está no envio desta chave de acesso por ligações de voz.
Segundo o texto detalhado da falha publicado no blog do pesquisador Shubham Shah, baseado na Austrália, o serviço de recados oferecidos por operadoras de telefonia móvel é o grande problema.
Como muitas pessoas não mudam a senha de acesso padrão ou simplesmente não usam uma, é possível redirecionar as ligações para uma caixa de mensagens de voz fraudulenta.
No entanto, driblar a autenticação de dois fatores não é uma tarefa simples.
É necessário que o invasor já tenha o nome de usuário e a senha de acesso da sua vítima, bem como seu número de telefone vinculado à conta em questão, o número de acesso remoto para o serviço de recados, além de um serviço de redirecionamento de ligações.
"Posso ser julgado por isso, e as pessoas podem discordar, mas não há uma razão considerável que eu consiga imaginar para que os códigos de autenticação de dois fatores sejam enviados por chamadas de voz. Há um grande risco em fazer isso pelo baixo nível de usabilidade acrescentado. Com base nas invasões feitas no passado em serviços de recados, ao enviar os PINs por mensagem de voz, é provável que você consiga transpassar a autenticação de dois fatores por meio desta falha", escreve Shah.
Ele entrou em contato com as empresas cujos serviços estavam vulneráveis devido a esse tipo de envio de código de ativação para alertá-las do risco aos usuários.
O Google informou que o problema de segurança não acontecia tecnicamente em seu serviço, mas, sim, no da operadora de telefonia. O Facebook e o LinkedIn optaram por desativar esse recurso temporariamente.
O Yahoo não respondeu o e-mail do pesquisador nem tirou o envio de PIN por chamada de voz do ar.
Entretanto, roubar uma conta Google com ese método não é uma tarefa silenciosa. O Google vai enviar uma mensagem de texto para a vítima automaticamente quando você acessar o serviço tentando hackeá-lo pela primeira vez.
Contudo, após esta tentativa, é possível mudar o método de envio do código de ativação.
O mais correto seria que houvesse alguma forma de identificação do usuário nas mensagens de voz da autenticação de dois fatores, o que não acontece nos serviços do Google. Entretanto, após o contato de Shah, a empresa informou que iria analisar o caso.
Vale notar que o problema de segurança acontece na Austrália, com diversas operadoras de telefonia móvel, bem como com duas britânicas, a Three e a EE. 9.59 milhões de clientes da operadora australiana Optus foram atingidas por esta falha de segurança.